Palvelu: Pääkäyttäjävaltuushallinta

Pääkäyttäjävaltuushallinta lyhyesti

Monet organisaatiot hallinnoivat keskitetysti käyttäjien elinkaaren. Identiteetti luodaan sopimuksen allekirjoituksen jälkeen ja aktivoidaan kun sopimus astuu voimaan. Käyttäjälle myönnetään toimenkuvaan kuuluvat käyttöoikeudet, luodaan sähköpostilaatikko ja muut tarvittavat elementit. Elinkaaren eri vaiheissa käyttöoikeuksia poistetaan ja lisätään, ja lopulta kun käyttäjä vaihtaa organisaation ulkopuolisiin tehtäviin, identiteetti suljetaan.

Usein tarvitaan kuitenkin myös ns. normaalista käyttäjätunnuksesta poikkeavia käyttöoikeuksia, joita hyödynnetään eri palveluiden ja järjestelmien hallinnoinnissa eli niin sanottuja pääkäyttäjäoikeuksia. Privileged Identity Management huomioi nämä korkean valtuustason käyttäjätunnukset ja niihin liittyvät käyttöoikeudet, mahdollistaen yhden pääkäyttäjäidentiteetin kaikissa niissä järjestelmissä, joissa pääkäyttäjäoikeuksia tarvitaan.

Tavoitteena on pitää admin tunnuksien lukumäärä mahdollisimman vähäisenä. Jokaisella admin-käyttäjällä on vain yksi admin tunnus, jota voidaan käyttää kaikissa niissä kohdejärjestelmissä joihin käyttäjällä on hallinnointioikeus.

Mitä Mint Security toimittaa

Mallinnamme asiakkaan kanssa yhteistyössä tarvittavat käyttöoikeudet ja kohteet sekä luomme käytettävät politiikat ja prosessit. Määrittelemme käytettävät salaus- ja tunnistusmenetelmät asiakkaan ympäristöön soveltuvaksi ja jalkautamme turvallisen mutta läpinäkyvän pääkäyttäjähallinnan. Toimitamme tarvittaessa vahvan tunnistuksen välineen, Yubikey-avaimen.

Asiakkaiden tarpeet ja ratkaistavat haasteet

Pääkäyttäjäoikeudet ovat hyvin kriittisiä. Hallinnoinnin ja tunnistuksen näkökulmasta ne ovat vielä oleellisempi osa organisaatioiden tietoturvastrategiassa kuin tavallisten käyttäjien identiteettien elinkaaren hallinnointi. Vääriin käsiin joutuessaan lopputulos voi olla katastrofaalinen.

Asiakkaan tulee pystyä hallinnoimaan pääkäyttäjäidentiteettejä yhtä helposti kuin normaaleja tunnuksia ja tarvittaessa poistamaan pääkäyttäjien oikeudet keskitetysti, ilman kohdejärjestelmien tai -palveluiden muokkausta.

ISO27002 vaatii että pääkäyttäjävaltuushallinta on määriteltyä ja hallittua toimintaa.

Tarkemmin menetelmistämme ja työkaluistamme

Tunnistuksen osalta pääkäyttäjiin täytyy kiinnittää tarkasti huomiota. Pääkäyttäjien salasanapolitiikka tulee olla mielellään tiukempi kuin normaaleiden käyttäjätunnusten ja kaksitasoinen tunnistus on lähes ehdoton. Kaksitasoinen tunnistus voidaan Linux ympäristöissä hoitaa helposti käyttämällä SSH avaimia ja estää pelkällä salasanalla kirjautuminen kokonaan. Windows-ympäristössä tunnukset voidaan käyttää ja synkronoida suoraan AD-palvelusta. Valituilla tekniikoilla voimme myös liittää Windows-domainin ulkopuoliset yksittäiset Windows-palvelimet pääkäyttäjä (ja käyttäjä) hallinnan piiriin, Palveluihin tunnistauduttaessa voidaan myös ottaa käyttöön kaksitasoinen tunnistus ulkoisella Tokenilla. Mint Securityn valinta tähän käyttöön on erittäin monikäyttöinen ja kustannustehokas Yubikey. Yubikey mahdollistaa helpon kaksitasoisen tunnistuksen toteuttamisen myös työasemille, sekä Linux ja Windows palvelimille.

FreeIPA

FreeIPA on käyttäjien ja käyttöoikeuksien keskitettyyn hallinnointiin kehitetty IDM-tuote. FreeIPAn avulla voimme helposti hallinnoida tunnistautumista palvelimille sekä palveluihin ja määritellä roolipohjaisesti mm.

  • kuka saa kirjautua mille palvelimelle ja millä menetelmällä
  • sallitaanko Linux-palvelimille sudo ja millä tasolla
  • sallitaanko Windows-palvelimella Administrator-oikeudet

FreeIPA tarjoaa myös LDAP rajapinnan, jota voimme hyödyntää palveluiden tunnistuksessa. Voimme luoda eri palveluita varten pääkäyttäjille eri ryhmiä ja hallinnoida niitä keskitetysti FreeIPAn käyttöliittymän ja rajapintojen kautta. Tämä mahdollistaa yhden näkymän kaikkien kohdejärjestelmien ja palveluiden käyttöoikeuksien hallinnointiin.

Yubikey

Yubikey on token avainten tallennusta varten. Yubikeylle voimme tallentaa PGP avaimet, tarvittavat varmenteet, sekä hyödyntää myös authentication tarkoitukseen luotua PGP avainta SSH avain autentikoinnissa. Tällöin SSH avaimet kulkevat aina mukana, eikä niitä tarvitse tallentaa työasemille erikseen, mikä parantaa sekä käytettävyyttä, että tietoturvaa. Yubikeytä voidaan hyödyntää myös julkisissa palveluissa, esim yrityksen Gmail-pääkäyttäjätilin suojaukseen.

LSC

Pääkäyttäjäoikeuksia tarvitsee tietyissä tilanteissa viedä myös IDM järjestelmän ja sitä suoraan hyödyntävien järjestelmien ulkopuolelle. LSC mahdollistaa tietojen lähes reaaliaikaisen synkronoinnin FreeIPAsta (tai jostakin muusta lähteestä) ulkoisiin LDAP hakemistoihin ja tietokantoihin. Pystymme näin hallinnoimaan myös ulkoisten kohdejärjestelmien salasanavaatimuksia ja käyttäjien validiutta keskitetysti IDM järjestelmässä.

Mitä seuraavaksi

  • IT-riskienhallinta ja jatkuvuus
  • Tietoturvaprosessien kehittäminen
  • SecOps - DevOps - Arkkitehtuuri
  • SIEM ja lokitapahtumienhallinta

Tekninen tietoturva ja arkkitehtuuri

FreeIPA on laaja kokonaisuus josta yleensä otetaan käyttöön rajattu määrä ominaisuuksia. FreeIPA sisältää hakemiston (389 Directory Server), MIT Kerberos, NTP, DNS sekä CA-järjestlemän (Dogtag).

Yubikey on ruotsalaisen Yubicon valmistama 2FA ("kaksivaiheinen tunnistus") USB-avain. Avaimella voidaan toteuttaa turvallinen ja helppokäyttöinen vahva kaksivaiheinen tunnistus sekä yksityiskäyttöön että yrityskäyttöön.

LSC on avoimen lähdekoodin hakemistosynkronointiratkaisu. Synkronointi tukee LDAP-hakemistoja, AD-hakemistoa, tietokantoja ja tekstitiedostoja. Perusratkaisu voidaan laajentaa skriptaamalla. Ratkaisu on hyvin kevyt.